خبر

  • تک بورد - اشکال Critical Cobalt Strike سرورهای بات نت را در معرض حذف قرار می دهد

    اشکال Critical Cobalt Strike سرورهای بات نت را در معرض حذف قرار می دهد
    13 روز و 15 ساعت قبل

    بهره برداری جدید برای بارگیری به هکرها اجازه می دهد سرورهای تیم Cobalt Strike را خراب کنند.
    دولتها ، هشیاران و هکرهای جنایتکار راهی جدید برای ایجاد اختلال در بات نت ها در اجرای نرم افزار مورد استفاده گسترده کبالت استرایک دارند.

    Cobalt Strike یک ابزار امنیتی قانونی است که توسط آزمایش کنندگان نفوذ برای شبیه سازی فعالیت های مخرب در شبکه استفاده می شود. طی چند سال گذشته ، هکرهای مخرب-که به نمایندگی از یک دولت-ملت کار می کردند یا در جستجوی سود بودند-به طور فزاینده ای از این نرم افزار استقبال کردند. برای مدافع و مهاجم ، Cobalt Strike مجموعه ای از بسته های نرم افزاری را ارائه می دهد که به رایانه های آلوده و سرورهای مهاجم اجازه می دهد تا به روشهای بسیار سفارشی تعامل داشته باشند.

    اجزای اصلی ابزار امنیتی کبالت هستند. سرویس گیرنده Strike - همچنین به عنوان Beacon شناخته می شود - و سرور Cobalt Strike Team ، که دستوراتی را به رایانه های آلوده ارسال می کند و داده هایی را که از آنها خارج می شود دریافت می کند. مهاجم با چرخاندن دستگاهی که سرور تیم را اجرا می کند و پیکربندی شده است از سفارشی سازی های خاص "malleability" استفاده می کند ، مانند اینکه هر چند وقت یکبار سرویس گیرنده به سرور گزارش می دهد یا داده های خاصی برای ارسال دوره ای.

    سپس مهاجم پس از سوء استفاده از آسیب پذیری ، فریب کاربر یا دسترسی به روش های دیگر ، سرویس گیرنده را روی یک ماشین هدف قرار می دهد. از آن به بعد ، کلاینت از این سفارشی سازی ها برای حفظ تماس مداوم با دستگاهی که سرور تیم را اجرا می کند ، استفاده می کند.

    پیوند متصل کننده سرویس گیرنده به سرور را موضوع وب سرور می نامند که ارتباط بین این دو را مدیریت می کند. ماشین آلات مهمترین ارتباطات سرورهای "وظایفی" هستند که به مشتریان دستور می دهند تا فرمان را اجرا کنند ، یک لیست فرآیند دریافت کنند یا کارهای دیگر انجام دهند. سپس مشتری با "پاسخ" پاسخ می دهد. آفلاین. گال کریستول ، یکی از محققان SentinelOne در یک پست نوشت: این اشکال با ارسال یک پاسخ سرور سرور که "هر ذره از حافظه موجود را از سرور وب C2 فشرده می کند" کار می کند.

    کریستول در ادامه نوشت:

    این امر به مهاجم اجازه می دهد تا باعث خالی شدن حافظه در سرور Cobalt Strike ("سرور تیم") شود و سرور را تا زمان راه اندازی مجدد پاسخگو نباشد. این بدان معناست که Beacons زنده نمی تواند با C2 خود ارتباط برقرار کند تا اینکه اپراتورها سرور را مجدداً راه اندازی کنند. وصله شده یا پیکربندی Beacon تغییر کرده است.

    هریک از این موارد Beacon های موجود را منسوخ می کند زیرا تا زمانی که با پیکربندی جدید به روز نشوند قادر به برقراری ارتباط با سرور نخواهند بود. بنابراین ، این آسیب پذیری می تواند به طور جدی با عملیات جاری تداخل داشته باشد.

    تنها چیزی که برای انجام حمله لازم است ، اطلاع از برخی تنظیمات سرور است. این تنظیمات گاهی در نمونه های بدافزار موجود از سرویس هایی مانند VirusTotal جاسازی می شوند. پیکربندی ها نیز برای هرکسی که دسترسی فیزیکی به سرویس گیرنده آلوده دارد قابل دسترسی است.

    تبلیغات

    کلاه سیاه ، مراقب باشید

    برای سهولت کار ، Sentinel One تجزیه کننده ای را منتشر کرد که پیکربندی های به دست آمده از آن را ضبط می کند. نمونه های بدافزار ، تخلیه حافظه و گاهی URL هایی که مشتریان برای اتصال به سرورها استفاده می کنند. پس از در اختیار داشتن تنظیمات ، مهاجم می تواند از یک ماژول ارتباطی همراه با تجزیه کننده استفاده کند تا به عنوان یک مشتری Cobalt Strike متعلق به سرور مورد استفاده قرار گیرد.

    در مجموع ، این ابزار دارای موارد زیر است: به عنوان یک چراغ جعلی

    مشتری جعلی می تواند پاسخ سرور را ارسال کند ، حتی زمانی که سرور ابتدا هیچ کار مربوطه را ارسال نکرده باشد. یک اشکال ، با نام CVE-2021-36798 ، در نرم افزار Team Server مانع از رد پاسخ های حاوی داده های نادرست می شود. به عنوان مثال ، داده های همراه با اسکرین شاتی که مشتری روی سرور بارگذاری می کند.

    "با دستکاری در اندازه تصویر صفحه می توانیم سرور را وادار کنیم که یک اندازه دلخواه از حافظه را که اندازه آن توسط ما کاملاً قابل کنترل است ، اختصاص دهد. "کریستول نوشت. "با ترکیب تمام دانش جریان ارتباطات Beacon و تجزیه کننده پیکربندی ما ، ما همه چیزهایی را که برای جعل یک Beacon نیاز داریم ، داریم." دسته دوم به احتمال زیاد بیشترین آسیب پذیری را تهدید می کند. دلیل این امر این است که اکثر مدافعان امنیتی حرفه ای مجوز استفاده از Cobalt Strike را می پردازند ، در حالی که بسیاری از هکرهای مخرب ، نسخه های دزدی نرم افزار را دریافت می کنند. به افراد دزدی این نرم افزار فاش شد. اکنون برای دارندگان مجوز در دسترس است.

    فهرست بندی تصویر توسط Getty Images





خبرهای دیگر از ابزارها